1 96 Table of Contents 98 116

Controller Magazin 6/2019

95 Liebe Leserinnen und Leser, noch immer sieht man, dass Risiken durch Schadenshöhe und Eintrittswahrscheinlichkeit beschrieben werden. Eine derartige quantitative Beschreibung von Risiken ist aber fast immer unsinnig, führt zu falschen Entscheidungen und einer geringen Akzeptanz des Risikomanage- ments. Aufgrund der zentralen Bedeutung sei das Thema nachfolgend noch einmal erläutert: Zunächst einmal sollte heute jedem im Risiko- management Tätigen klar sein, dass er sich mit Chancen und Gefahren (also Risiken) befassen muss – so verlangen es die Standards COSO ERM, ISO, IDW PS 981 und DIIR RS Nr. 2. Die „digitale“ Verteilung mit Schadenshöhe und Eintrittswahrscheinlichkeit unterstellt, dass (1) nur negative Planabweichungen auftreten kön- nen, (2) ein Risiko nur höchstens einmal inner- halb eines Jahres eintritt und (3) der Schaden dann sicher ist. Diese Voraussetzungen sind fast nie gegeben. Viele Risiken können mehr als einmal im Jahr eintreten. Der Risikoumfang ist abhängig von der Unsicherheit über die Scha- denshöhe. Wer dies ignoriert, unterschätzt ein Risiko. Selbst bei „ereignisorientierten Risiken“ wird deutlich, dass Risikobeauftragte keine Chance haben, ein Risiko durch Schadenshöhe und Eintrittswahrscheinlichkeit adäquat einzu- schätzen. Was soll Eintrittswahrscheinlichkeit heißen? Dass ein Risiko einmal oder mindes- tens einmal eintritt? Was bedeutet Schadens- www.rma-ev.org CM November / Dezember 2019 Noch einmal zur Risikoquantifizierung Risiko ist nicht immer Schadenshöhe x Eintrittswahrscheinlichkeit Impressum Ralf Kimpel Vorsitzender des Vorstands der Risk Management Association e. V. ralf.kimpel@rma-ev.org | V.i.S.d.P. RMA-Geschäftsstelle Risk Management Association e. V. Zeppelinstr. 73, D-81669 München Tel.: +49.(0)1801 – RMA TEL (762 835) Fax: +49.(0)1801 – RMA FAX (762 329) E-Mail: of ce@rma-ev.org Web: www.rma-ev.org Prof. Dr. Werner Gleißner fachartikel@futurevalue.de, Tel.: +49.(0)711-79 73 58 30 Prof. Dr. Werner Gleißner höhe? Der wahrscheinlichste Wert des Schadens? Der Erwartungswert? Oder ein realistischer Höchstwert im Sinne eines Value- at-Risk? Meist ist dies nicht geklärt. Um eine im Mittel zutreffende, d.h. erwartungstreue Schät- zung der Wirkung eines Risikos zu erhalten, müsste man die Wahrscheinlichkeit, dass ein Risiko eintritt, mit dem Erwartungswert der Schadenshöhe verbinden. Betrachtet man aber nur den Erwartungswert, werden die auch mög- lichen extremen Auswirkungen des Risikos ignoriert. Und genau diese sind es, die alleine oder in Kombination mit anderen Risiken „bestandsgefährdende Entwicklungen“ (§91 AktG) auslösen. Die Erkennung bestandsge­ fährdender Entwicklungen ist die traditionelle Kernaufgabe des Risikomanagements. Ist also die Wahrscheinlichkeit, die abgefragt wird, die Wahrscheinlichkeit, dass ein Risiko überhaupt eintritt? Oder die Wahrscheinlichkeit, dass der „realistische“ Maximalschaden eintritt? Eine Wahrscheinlichkeit kann man nicht mit zwei Sachverhalten ausdrücken. Ein Großteil aller Risiken kann zugleich positive wie auch negative Abweichungen vom Planwert auslösen. Risikoarten, wie z.B. Wechselkurs-, Zinsänderungs- und Rohstoffpreis-Risiken sowie Unsicherheit bezüglich des künftigen Marktanteils oder Projektkosten, ist eines gemeinsam: Sie werden auf jeden Fall ein­ treten, unsicher ist nur die Höhe (siehe dazu meine Texte (I) und (II) zur Risikoanalyse im Controller Magazin 2 und 3 2019 mit einem Leitfaden zur Beurteilung der Risikoquantifizi - rung). Notwendig ist insbesondere zu beschrei- ben, in welcher Bandbreite sich die Auswirkun- gen eines Risikos realisieren können. Dazu kann bei marktbezogenen Risiken z.B. die Nor- malverteilung genutzt werden oder bei vielen planungsbezogenen Risiken die Dreiecksvertei- lung (mit Mindestwert, wahrscheinlichstem Wert und Maximalwert). Fazit: Die Quantifizierung von Risiken durch Schadenshöhe und Eintrittswahrscheinlichkeit (und die darauf aufbauenden Risk Maps) sind unsinnig und führen systematisch zur Fehl­ einschätzung. Daher stellt in der Zwischenzeit auch der neue Prüfungsstandard des Deut- schen Instituts für Interne Revision (DIIR RS Nr. 2) klar, dass Risiken durch die jeweils angemessenen Wahrscheinlichkeitsverteilungen zu beschreiben sind (und diese quantitativen Methoden Prüfungsgegenstand sind). Dies ist deutlicher als im alten IDW PS 340, wo aber auch schon von den „quantitativen Auswirkun- gen“ eines Risikos (und nicht etwa Schäden) gesprochen wurde, um die adäquate Quantifizi - rung unsicherer Auswirkungen zu ermöglichen. Risikomanagementsysteme, die sämtliche Risi- ken durch Schadens- und Eintrittswahrschein­ lichkeiten beschreiben, können kaum ökonomi- schen Mehrwert bieten, widersprechen auch den zentralen Anforderungen der Standards und zeigen einen geringen Reifegrad. Hier besteht in vielen Unternehmen Handlungsbe- darf, speziell für die Risikomanager. Methoden­ spezialist und Analytiker sind wichtige Rollen für Risikomanager. Aber es gibt auch weitere wichtige Rollen, wie Ute Vanini und Hendric Gutacker in ihrem Beitrag „Rollen und Zufrie- denheit von Risikomanagern – Ergebnisse einer Befragung in Deutschland und der Schweiz“ in diesem Controller Magazin erläutern. // Ich wünsche viel Spaß beim Lesen. Prof. Dr. Werner Gleißner

RkJQdWJsaXNoZXIy Mjc4MQ==